近日360手機精靈、豌豆莢、騰訊手機助手等多款安卓(Android)手機管理軟體曝出安全漏洞,在公共WiFi環境下,安卓手機使用者可能會被處於同一網路的攻擊者盜取所有個人隱私資訊,金山安全中心分析認為,這 是目前為止國內最嚴重的智慧手機安全風險,金山網路釋出橙色安全預警,提醒廣大安卓使用者儘快升級軟體程式修復漏洞。
危及數千萬使用者
隨著移動網際網路的快速發展,手機管理軟體幾乎已經成為智慧手機的必備工具。它主要是方便智慧手機與電腦之間的內容同步,使用者透過該軟體,可在電腦中直接管理手機中的通訊錄、簡訊、照片、影片、音樂等個人資訊,也可以直接為手機安裝應用程式和遊戲等。
金山網路安全專家李鐵軍介紹,這類軟體主要透過 FTP 服務來管理手機檔案,但如果技術實現存在漏洞,就會導致在同一網路下的計算裝置均能夠登入 FTP 訪問該手機。比如 在咖啡館、商務辦公場所、機場等公共WiFi網路環境中,攻擊者 不經允許就可以惡意訪問、上傳、下載或篡改、刪除手機資訊,包括手機記憶體、儲存卡中的照片、簡訊、聊天記錄、電話錄音、影片以及其他文件等個人隱私。
截至 2011 年第三季度,中國網民擁有的安卓手機總量約 2500 萬臺,超過蘋果 iPhone ,成為最大的國內智慧手機平臺。此外,由於安卓平臺開源開放、價格較低,安卓手機正處於高速爆發的時期。上述三款手機管理軟體覆蓋國內約 80% 的安卓使用者,因此該 WiFi 漏洞可能影響數千萬安卓使用者,是目前為止國內最嚴重的智慧手機安全風險。
360 手機精靈危害最大
由於影響較大,該風險引發了安全機構的極大重視,金山安全中心對此進行了專門的技術分析,併發布了研究報告。報告顯示,在這三款軟體中,360手機精靈帶給手機使用者的安全威脅最大。
據分析, 360 手機精靈也是透過 FTP 服務來管理手機檔案,但是它的 FTP 使用者名稱、密碼是沒有經過加密的明文儲存在程式配置檔案中,該密碼固定不變。而且,該 FTP 的登入也並未限制客戶端,也就意味著,除了使用者自己連線的電腦外,其他電腦或者手機也可登入該 FTP 訪問該手機。
此外, 360 手機精靈目前透過 360 安全衛士捆綁推廣,使用者的電腦和手機在沒有得到明確提示的情況下被靜默安裝,並預設開機自啟動。由於 360 安全衛士擁有接近 4 億的電腦使用者,覆蓋國內超過 80% 的網民,因此 360 手機精靈帶來的安全風險應該引起所有網民和智慧手機使用者的極大重視。
與 360 手機精靈相比,騰訊應用助手雖然也存在安全風險,但騰訊應用助手不使用固定的訪問使用者名稱、密碼和埠號,也不使用 FTP 協議,而採用較安全的 Socket 方式,有動態驗證,因此風險較小。
程式升級後仍存風險
目前,這三款軟體在發現漏洞之後均進行了升級。但金山安全中心分析發現,即使升級之後,360手機精靈提供的新解決方案仍然存在較大的安全風險。
360 手機精靈新版本僅僅對訪問手機的電腦IP進行了過濾限制,只允許使用者自己的電腦透過USB資料線訪問手機。但金山安全中心分析顯示,360手機精靈提供的FTP服務還存在,使用者名稱、密碼仍然能夠被攻擊者獲取,然後透過使用者電腦作為跳板訪問其手機。
豌豆莢升級後關閉了在WiFi環境下管理手機檔案的功能來避免漏洞的風險,但豌豆莢使用的WiFi連線驗證碼是固定的,仍然存在一定風險。騰訊應用助手升級後只有輸入動態驗證碼才能訪問手機,相對以上兩者都更加安全和完善。
倡議構建手機管理安全標準
李鐵軍表示,手機管理軟體確實為廣大智慧手機使用者帶來了極大的便利,使得使用者可以透過電腦便利地管理手機資訊,但是便利性不能以犧牲使用者資料安全為代價。
專業機構 LookOut 調查顯示, 97% 的手機使用者認為個人隱私最重要。尤其使用智慧手機,其中得到的個人隱私資訊更多,如果洩露,隨時會給個人生活帶來非常大的麻煩,甚至引發“豔照門”、敲詐門等更大的安全風險。
金山網路提醒安卓手機使用者儘快升級軟體,或者更換更為安全的手機管理軟體。同時建議軟體廠商在做技術方案時要充分考慮使用者資料安全問題,軟體透過升級可以很快修復漏洞,但是給使用者已經造成的傷害卻難以彌補。金山網路倡議手機管理軟體廠商建立技術交流機制,共同構建相關技術標準,推動中國移動網際網路健康發展。